- 最近收到一个基于
isilon
的Windows共享访问的需求:
- 要求指定IP能访问;
- 目录按用户来区分读写权限;
- 上传的文件不允许修改和删除。
- 指定IP访问比较容易了:
可以在网络各个层面控制。
也可以在isilon
系统中控制:
isi smb shares modify public-share --host-acl=allow:192.168.10.31 --host-acl=allow:10.10.22.33 --host-acl=deny:ALL --zone system
isi smb shares view public-share --zone system
- 按用户区分权限,首先得接入认证系统。我考虑接入LDAP统一认证:
- 笔者用的
OpenLDAP
- v2.4.40+dfsg-1+deb8u2 并开启了smb
支持。 - 通过
smb
认证的用户,需要增加sambaConfig
、sambaSamAccount
、sambaNTPassword
、sambaSID
属性: - 在
isilon
- v7.2.1.1 管理后台配置认证 ACCESS - Authencication Providers - LDAP :注意
:
Windows Password Attribute 务必改为sambaNTPassword
,否则Windows用户无法验证! - 正确填写 Distinguished Name 和 Query Filter 以便用于用户和群组的授权:
注意
:
默认的权限非常严格,在实践中会带来巨大的教育和维护成本。
于是上图中的 Advanced SMB Share Settings 里有所放开。 - 其中的 source 目录,通过 Windows 的权限控制实现:允许上传、禁止更新或删除:
显示申明允许“创建文件/写入数据”,明确禁止“删除”和“修改属性”
- 测试通过,玩得开心。